ISO/IEC 9594-8:1998
(Main)Information technology — Open Systems Interconnection — The Directory: Authentication framework — Part 8:
Information technology — Open Systems Interconnection — The Directory: Authentication framework — Part 8:
Technologies de l'information — Interconnexion de systèmes ouverts (OSI) — L'annuaire: Cadre d'authentification — Partie 8:
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 9594-8
Third edition
1998-12-15
Information technology — Open Systems
Interconnection — The Directory:
Authentication framework
Technologies de l'information — Interconnexion de systèmes ouverts
(OSI) — L'Annuaire: Cadre d'authentification
Reference number
ISO/IEC 9594-8:1998(E)
©
ISO/IEC 1998
---------------------- Page: 1 ----------------------
ISO/IEC 9594-8:1998(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but shall not
be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In downloading this
file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat accepts no liability in this
area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation parameters
were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In the unlikely event
that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO/IEC 1998
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means, electronic
or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or ISO's member body
in the country of the requester.
ISO copyright office
Case postale 56 � CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.ch
Web www.iso.ch
Published by ISO in 2000
Printed in Switzerland
ii © ISO/IEC 1998 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 9594-8:1998(E)
Contents
Page
SECTION 1 – GENERAL. 1
1 Scope . 1
2 Normative references. 2
2.1 Identical Recommendations | International Standards. 2
2.2 Paired Recommendations | International Standards equivalent in technical content. 3
2.3 Other references . 3
3 Definitions . 3
3.1 OSI Reference Model security architecture definitions . 3
3.2 Directory model definitions. 4
3.3 Authentication framework definitions. 4
4 Abbreviations . 5
5 Conventions. 5
SECTION 2 – SIMPLE AUTHENTICATION . 7
6 Simple authentication procedure . 7
6.1 Generation of protected identifying information. 8
6.2 Procedure for protected simple authentication . 8
6.3 User Password attribute type. 9
SECTION 3 – STRONG AUTHENTICATION . 9
7 Basis of strong authentication. 9
8 Obtaining a user’s public key . 10
8.1 Optimization of the amount of information obtained from the Directory . 13
8.2 Example. 13
9 Digital signatures. 15
10 Strong authentication procedures . 17
10.1 Overview . 17
10.2 One-way authentication. 17
10.3 Two-way authentication . 18
10.4 Three-way authentication . 19
11 Management of keys and certificates. 20
11.1 Generation of key pairs . 20
11.2 Management of certificates . 20
12 Certificate and CRL extensions. 22
12.1 Introduction . 22
12.2 Key and policy information. 23
12.2.1 Requirements. 23
12.2.2 Certificate and CRL extension fields . 23
12.3 Certificate subject and certificate issuer attributes . 28
12.3.1 Requirements. 28
12.3.2 Certificate and CRL extension fields . 28
12.4 Certification path constraints. 30
12.4.1 Requirements. 30
12.4.2 Certificate extension fields. 30
12.4.3 Certification path processing procedure. 32
12.5 Basic CRL extensions . 35
12.5.1 Requirements. 35
12.5.2 CRL and CRL entry extension fields . 35
© ISO/IEC 1998 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 9594-8:1998(E)
Page
12.6 CRL distribution points and delta-CRLs. 37
12.6.1 Requirements. 37
12.6.2 Certificate extension fields. 37
12.6.3 CRL and CRL entry extension fields . 38
12.6.4 Attribute type for delta-CRLs. 40
12.7 Matching rules. 40
12.7.1 Certificate exact match. 40
12.7.2 Certificate match . 40
12.7.3 Certificate pair exact match. 41
12.7.4 Certificate pair match . 42
12.7.5 Certificate list exact match . 42
12.7.6 Certificate list match. 42
12.7.7 Algorithm identifier match.43
13 Obtaining certified attributes . 43
13.1 Attribute certificates. 43
13.2 Attribute certificate attribute . 44
13.3 Attribute certificate matching rule. 44
13.4 Attribute certificate paths . 44
13.5 Attribute certificate revocation list. 45
Annex A – Authentication framework in ASN.1. 46
2)
Annex B – Security requirements . 56
B.1 Threats. 56
B.2 Security services. 56
B.3 Security mechanisms. 57
B.4 Threats protected against by the security services. 58
B.5 Negotiation of security services and mechanisms. 58
3)
Annex C – An introduction to public key cryptography . 59
4) 5)
Annex D – The RSA public key cryptosystem . 61
D.1 Scope and field of application . 61
D.2 Definitions. 61
D.3 Symbols and abbreviations. 61
D.4 Description . 62
D.5 Security requirements. 62
D.5.1 Key lengths. 62
D.5.2 Key generation . 62
D.6 Public exponent . 62
D.7 Conformance . 63
Annex E – Hash functions . 64
E.1 Requirements for hash functions. 64
Annex F – Threats protected against by the strong authentication method . 65
Annex G – Data confidentiality . 66
G.1 Introduction . 66
G.2 Data confidentiality by asymmetric encipherment.66
G.3 Data confidentiality by symmetric encipherment. 66
Annex H – Reference definition of algorithm object identifiers. 67
Annex I – Bibliography . 68
Annex J – Examples of use of certification path constraints . 69
J.1 Example 1: Use of basic constraints. 69
J.2 Example 2: Use of name constraints . 69
J.3 Example 3: Use of policy mapping and policy constraints . 69
Annex K – Amendments and corrigenda. 71
iv © ISO/IEC 1998 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 9594-8:1998(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission)
form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC
participate in the development of International Standards through technical committees established by the
respective organization to deal with particular fields of technical activity. ISO and IEC technical committees
collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in
liaison with ISO and IEC, also take part in the work.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 3.
In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
Draft International Standards adopted by the joint technical committee are circulated to national bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this part of ISO/IEC 9594 may be the subject of
patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
International Standard ISO/IEC 9594-8 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information
technology, Subcommittee SC 6, Telecommunications and information exchange between systems,in
collaboration with ITU-T. The identical text is published as ITU-T Recommendation X.509.
This third edition cancels and replaces the second edition (ISO/IEC 9594-8:1995), of which it constitutes a minor
revision.
ISO/IEC 9594 consists of the following parts, under the general title Information technology — Open Systems
Interconnection — The Directory :
� Part 1: Overview of concepts, models and services
� Part 2: Models
� Part 3: Abstract service definition
� Part 4: Procedures for distributed operation
� Part 5: Protocol specifications
� Part 6: Selected attribute types
� Part 7: Selected object classes
� Part 8: Authentication framework
� Part 9: Replication
� Part 10: Use of systems management for administration of the Directory
Annexes A and H form a normative part of this part of ISO/IEC 9594. Annexes B to G and I to K are for information
only.
© ISO/IEC 1998 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/IEC 9594-8:1998(E)
Introduction
This Recommendation | International Standard, together with other Recommendations | International Standards, has been
produced to facilitate the interconnection of information processing systems to provide directory services. A set of such
systems, together with the directory information which they hold, can be viewed as an integrated whole, called the
Directory. The information held by the Directory, collectively known as the Directory Information Base (DIB), is
typically used to facilitate communication between, with or about objects such as application-entities, people, terminals
and distribution lists.
The Directory plays a significant role in Open Systems Interconnection, whose aim is to allow, with a minimum of
technical agreement outside of the interconnection standards themselves, the interconnection of information processing
systems:
– from different manufacturers;
– under different managements;
– of different levels of complexity; and
– of different ages.
Many applications have requirements for security to protect against threats to the communication of information. Some
commonly known threats, together with the security services and mechanisms that can be used to protect against them,
are briefly described in Annex B. Virtually all security services are dependent upon the identities of the communicating
parties being reliably known, i.e. authentication.
This Recommendation | International Standard defines a framework for the provision of authentication services by the
Directory to its users. These users include the Directory itself, as well as other applications and services. The Directory
can usefully be involved in meeting their needs for authentication and other security services because it is a natural place
from which communicating parties can obtain authentication information of each other – knowledge which is the basis
of authentication. The Directory is a natural place because it holds other information which is required for
communication and obtained prior to communication taking place. Obtaining the authentication information of a
potential communication partner from the Directory is, with this approach, similar to obtaining an address. Owing to the
wide reach of the Directory for communications purposes, it is expected that this authentication framework will be
widely used by a range of applications.
This third edition technically revises and enhances, but does not replace, the second edition of this Recommendation |
International Standard. Implementations may still claim conformance to the second edition. However, at some point, the
second edition will not be supported (i.e. reported defects will no longer be resolved). It is recommended that
implementations conform to this third edition as soon as possible.
This third edition specifies versions 1 and 2 of the Directory protocols.
The first and second editions also specified version 1. Most of the services and protocols specified in this edition are
designed to function under version 1. When version 1 has been negotiated, differences between the services and between
the protocols defined in the three editions are accommodated using the rules of extensibility defined in the 1997 edition
of ITU-T Rec. X.519 | ISO/IEC 9594-5. However, some enhanced services and protocols, e.g. signed errors, will not
function unless all Directory entites involved in the operation have negotiated version 2.
Implementors should note that a defect resolution process exists and that corrections may be applied to this
Recommendation | International Standard in the form of technical corrigenda. The identical corrections will be applied to
this Recommendation | International Standard in the form of an Implementor’s Guide. A list of approved technical
corrigenda for this Recommendation | International Standard can be obtained from the Subcommittee secretariat.
Published technical corrigenda are available from your national standards organization. The Implementor’s Guide may
be obtained from the ITU Web site.
Annex A, which is an integral part of this Recommendation | International Standard, provides the ASN.1 module which
contains all of the definitions associated with the authentication framework.
Annex B, which is not an integral part of this Recommendation | International Standard, describes security requirements.
Annex C, which is not an integral part of this Recommendation | International Standard, is an introduction to public key
cryptography.
vi © ISO/IEC 1998 – All rights reserved
---------------------- Page: 6 ----------------------
ISO/IEC 9594-8:1998(E)
Annex D, which is not an integral part of this Recommendation | International Standard, describes the RSA public key
cryptosystem.
Annex E, which is not an integral part of this Recommendation | International Standard, describes hash functions.
Annex F, which is not an integral part of this Recommendation | International Standard, describes threats protected
against by the strong authentication method.
Annex G, which is not an integral part of this Recommendation | International Standard, describes data confidentiality.
Annex H, which is an integral part of this Recommendation | International Standard, defines object identifiers assigned
to authentication and encryption algorithms, in the absence of a formal register.
Annex I, which is not an integral part of this Recommendation | International Standard, contains a bibliography.
Annex J, which is not an integral part of this Recommendation | International Standard, contains examples of the use of
certification path constraints.
Annex K, which is not an integral part of this Recommendation | International Standard, lists the amendments and defect
reports that have been incorporated to form this edition of this Recommendation | International Standard.
© ISO/IEC 1998 – All rights reserved vii
---------------------- Page: 7 ----------------------
ISO/IEC 9594-8 : 1998 (E)
INTERNATIONAL STANDARD
ISO/IEC 9594-8 : 1998 (E)
ITU-T Rec. X.509 (1997 E)
ITU-T RECOMMENDATION
INFORMATION TECHNOLOGY – OPEN SYSTEMS INTERCONNECTION –
THE DIRECTORY: AUTHENTICATION FRAMEWORK
SECTION 1 – GENERAL
1 Scope
This Recommendation | International Standard:
– specifies the form of authentication information held by the Directory;
– describes how authentication information may be obtained from the Directory;
– states the assumptions made about how authentication information is formed and placed in the Directory;
– defines three ways in which applications may use this authentication information to perform
authentication and describes how other security services may be supported by authentication.
This Recommendation | International Standard describes two levels of authentication: simple authentication, using a
password as a verification of claimed identity; and strong authentication, involving credentials formed using
cryptographic techniques. While simple authentication offers some limited protection against unauthorized access, only
strong authentication should be used as the basis for providing secure services. It is not intended to establish this as a
general framework for authentication, but it can be of general use for applications which consider these techniques
adequate.
Authentication (and other security services) can only be provided within the context of a defined security policy. It is a
matter for users of an application to define their own security policy which may be constrained by the services provided
by a standard.
It is a matter for standards defining applications which use the authentication framework to specify the protocol
exchanges which need to be performed in order to achieve authentication based upon the authentication information
obtained from the Directory. The protocol used by applications to obtain credentials from the Directory is the Directory
Access Protocol (DAP), specified in ITU-T Rec. X.519 | ISO/IEC 9594-5.
The strong authentication method specified in this Recommendation | International Standard is based upon public key
cryptosystems. It is a major advantage of such systems that user certificates may be held within the Directory as
attributes, and may be freely communicated within the Directory System and obtained by users of the Directory in the
same manner as other Directory information. The user certificates are assumed to be formed by ‘off-line’ means, and
may subsequently be placed in the Directory. The generation of user certificates is performed by some off-line
Certification Authority which is completely separate from the DSAs in the Directory. In particular, no special
requirements are placed upon Directory providers to store or communicate user certificates in a secure manner.
A brief introduction to public key cryptography can be found in Annex C.
In general, the authentication framework is not dependent on the use of a particular cryptographic algorithm, provided it
has the properties described in clause 7. Potentially a number of different algorithms may be used. However, two users
wishing to authenticate shall support the same cryptographic algorithm for authentication to be performed correctly.
Thus, within the context of a set of related applications, the choice of a single algorithm will serve to maximize the
community of users able to authenticate and communicate securely. One example of a public key cryptographic
algorithm can be found in Annex D.
ITU-T Rec. X.509 (1997 E) 1
---------------------- Page: 8 ----------------------
ISO/IEC 9594-8 : 1998 (E)
Similarly, two users wishing to authenticate shall support the same hash function (see 3.3.14) (used in forming
credentials and authentication tokens). Again, in principle, a number of alternative hash functions could be used, at the
cost of narrowing the communities of users able to authenticate. A brief introduction to hash functions can be found in
Annex E.
2 Normative references
The following Recommendations and International Standards contain provisions which, through reference in this text,
constitute provisions of this Recommendation | International Standard. At the time of publication, the editions indicated
were valid. All Recommendations and Standards are subject to revision, and parties to agreements based on this
Recommendation | International Standard are encouraged to investigate the possibility of applying the most recent
edition of the Recommendations and Standards listed below. Members of IEC and ISO maintain registers of currently
valid International Standards. The Telecommunication Standardization Bureau of the ITU maintains a list of currently
valid ITU-T Recommendations.
2.1 Identical Recommendations | International Standards
– ITU-T Recommendation X.411 (1995) | ISO/IEC 10021-4:1997, Information technology – Message
Handling Systems (MHS): Message transfer system: Abstract service definition and procedures.
– ITU-T Recommendation X.500 (1997) | ISO/IEC 9594-1:1997, Information technology – Open Systems
Interconnection – The Directory: Overview of concepts, models and services.
– ITU-T Recommendation X.501 (1997) | ISO/IE
...
NORME ISO/CEI
INTERNATIONALE 9594-8
Troisième édition
1998-12-15
Technologies de l'information —
Interconnexion de systèmes ouverts
(OSI)— L'annuaire:Cadre
d'authentification
Information technology — Open Systems Interconnection —
The Directory: Authentication framework
Numéro de référence
ISO/CEI 9594-8:1998(F)
©
ISO/CEI 1998
---------------------- Page: 1 ----------------------
ISO/CEI 9594-8:1998(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier peut
être imprimé ou visualisé, mais ne doit pas être modifiéà moins que l'ordinateur employéà cet effet ne bénéficie d'une licence autorisant
l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées acceptent de fait la
responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute responsabilité en la
matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la créationduprésent fichier PDF sont disponibles dans la rubrique General Info du
fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir l'exploitation de
ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation, veuillez en informer le
Secrétariat central à l'adresse donnée ci-dessous.
© ISO/CEI 1998
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque
forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit de l’ISO à
l’adresse ci-aprèsouducomité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 � CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.ch
Web www.iso.ch
Publiée par l'ISO en 2000
Version française parue en 2001
Imprimé en Suisse
ii © ISO/CEI 1998 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/CEI 9594-8:1998(F)
TABLE DES MATIÈRES
Page
SECTION 1 – GÉNÉRALITÉS . 1
1 Domaine d'application . 1
2 Références normatives. 1
2.1 Recommandations | Normes internationales identiques . 1
2.2 Paires de Recommandations | Normes internationales équivalentes par leur contenu technique. 1
2.3 Autres références. 1
3 Définitions . 1
3.1 Définitions relatives à l'architecture de sécurité du modèle de référence OSI . 1
3.2 Définitions relatives au modèle d'Annuaire . 1
3.3 Définitions relatives au cadre d'authentification . 1
4 Abréviations . 1
5 Conventions. 1
SECTION 2 – AUTHENTIFICATION SIMPLE. 1
6 Procédure d'authentification simple. 1
6.1 Production de l'information d'identification protégée . 1
6.2 Procédure d'authentification simple protégée. 1
6.3 Type d'attribut de mot de passe d'utilisateur. 1
SECTION 3 – AUTHENTIFICATION RENFORCÉE. 1
7 Base de l'authentification renforcée. 1
8 Obtention d'une clé publique d'utilisateur . 1
8.1 Optimisation de la quantité d'information obtenue de l'Annuaire . 1
8.2 Exemple. 1
9 Signatures numériques. 1
10 Procédures d'authentification renforcée. 1
10.1 Aperçu général . 1
10.2 Authentification à une voie . 1
10.3 Authentification à deux voies. 1
10.4 Authentification à trois voies . 1
11 Gestion des clés et des certificats . 1
11.1 Production de paires de clés . 1
11.2 Gestion des certificats . 1
12 Extensions de certificat et de liste CRL. 1
12.1 Introduction . 1
12.2 Informations de clé et de politique . 1
12.2.1 Prescriptions. 1
12.2.2 Champs des extensions de certificat et de liste CRL. 1
12.3 Attributs d'entité titulaire de certificat et d'émetteur de certificat. 1
12.3.1 Prescriptions. 1
12.3.2 Champs d'extension de certificat ou de liste CRL. 1
12.4 Contraintes sur le chemin de certification . 1
12.4.1 Prescriptions. 1
12.4.2 Champs d'extension de certificat. 32
12.4.3 Procédure de traitement du chemin de certification . 35
12.5 Extensions de base des listes CRL . 37
12.5.1 Prescriptions. 37
12.5.2 Champs d'extension de liste et d'entrée de liste CRL . 38
© ISO/CEI 1998 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/CEI 9594-8:1998(F)
Page
12.6 Points de répartition de listes CRL et listes CRL delta . 40
12.6.1 Prescriptions. 40
12.6.2 Champs d'extension de certificat. 41
12.6.3 Champs d'extension de liste CRL et d'entrée de liste CRL . 42
12.6.4 Type d'attribut pour listes CRL delta. 44
12.7 Règles de correspondance . 44
12.7.1 Correspondance exacte de certificat. 44
12.7.2 Correspondance de certificat . 44
12.7.3 Correspondance exacte d'une paire de certificats. 45
12.7.4 Correspondance d'une paire de certificats . 45
12.7.5 Correspondance exacte de listes de certificats . 46
12.7.6 Correspondance de listes de certificats. 46
12.7.7 Correspondance d'identificateurs d'algorithme. 47
13 Obtention d'attributs certifiés. 47
13.1 Certificats d'attribut . 47
13.2 Attribut de certificat d'attribut . 48
13.3 Règle de correspondance des certificats d'attribut. 48
13.4 Chemins de certificat d'attribut. 48
13.5 Liste d'annulations des certificats d'attribut. 49
Annexe A – Cadre d'authentification en ASN.1 . 50
Annexe B – Prescriptions de sécurité . 60
B.1 Dangers . 60
B.2 Services de sécurité . 60
B.3 Mécanismes de sécurité. 61
B.4 Dangers contre lesquels la protection est assurée par les services de sécurité . 62
B.5 Négociation des services et des mécanismes de sécurité. 62
Annexe C – Introduction à la cryptographie de clé publique . 63
Annexe D – Le système cryptographique RSA de clé publique . 65
D.1 Objectif et domaine d'application. 65
D.2 Définitions. 65
D.3 Symboles et abréviations. 65
D.4 Description . 66
D.5 Prescriptions de sécurité. 66
D.5.1 Longueurs de clé . 66
D.5.2 Production de clés . 66
D.6 Exposant public . 66
D.7 Conformité . 67
Annexe E – Fonctions de hachage . 68
E.1 Prescriptions pour les fonctions de hachage. 68
Annexe F – Dangers contre lesquels la protection est assurée par les méthodes d'authentification renforcée . 69
Annexe G – Confidentialité des données. 70
G.1 Introduction . 70
G.2 Confidentialité des données par chiffrement asymétrique. 70
G.3 Confidentialité des données par chiffrement symétrique . 70
Annexe H – Définition de référence des identificateurs d'objet d'algorithme . 71
Annexe I – Bibliographie. 72
Annexe J – Exemples d'utilisation de contraintes de chemin de certification. 73
J.1 Exemple 1: utilisation de contraintes de base. 73
J.2 Exemple 2: utilisation de contraintes nominatives . 73
J.3 Exemple 3: utilisation de mappage de politiques et de contraintes de politiques. 73
Annexe K – Amendements et corrigenda . 75
iv © ISO/CEI 1998 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/CEI 9594-8:1998(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou de la
CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques créés par
l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les comités
techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres organisations
internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI participent également
aux travaux.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI, Partie 3.
Dans le domaine des technologies de l'information, l'ISO et la CEI ont créé un comité technique mixte,
l'ISO/CEI JTC 1. Les projets de Normes internationales adoptéspar le comité technique mixte sont soumis aux
organismes nationaux pour vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au
moins des organismes nationaux votants.
L’attention est appelée sur le fait que certains des éléments delaprésente partie de l’ISO/CEI 9594 peuvent faire
l’objet de droits de propriété intellectuelle ou de droits analogues. L’ISO et la CEI ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
La Norme internationale ISO/CEI 9594-8 a étéélaboréepar le comité technique mixte ISO/CEI JTC 1,
Technologies de l'information, sous-comité SC 6, Téléinformatique, en collaboration avec l'UIT-T. Le texte
identique est publié en tant que Recommandation UIT-T X.509.
Cette troisième édition annule et remplace la deuxième édition (ISO/CEI 9594-8:1995), qui a fait l'objet d'une
révision mineure.
L'ISO/CEI 9594 comprend les parties suivantes, présentées sous le titre général Technologies de l'information —
Interconnexion de systèmes ouverts (OSI) — L'annuaire:
� Partie 1: Aperçugénéral des concepts, modèles et services
� Partie 2: Les modèles
� Partie 3: Définition du service abstrait
� Partie 4: Procédures pour le fonctionnement réparti
� Partie 5: Spécification du protocole
� Partie 6: Types d'attributs sélectionnés
� Partie 7: Classes d'objets sélectionnées
� Partie 8: Cadre d'authentification
� Partie 9: Duplication
� Partie 10: Utilisation de la gestion-systèmes pour l'administration de l'annuaire
Les annexes A et H constituent un élément normatif de la présente partie de l'ISO/CEI 9594. Les annexes B à Get
I à K sont données uniquement à titre d'information.
© ISO/CEI 1998 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO/CEI 9594-8:1998(F)
Introduction
La présente Recommandation | Norme internationale a été élaborée, ainsi que d'autres Recommandations | Normes
internationales, pour faciliter l'interconnexion des systèmes de traitement de l'information et permettre ainsi d'assurer des
services d'annuaire. L'ensemble de tous ces systèmes, avec les informations d'annuaire qu'ils contiennent, peut être
considéré comme un tout intégré, appelé Annuaire. Les informations de l'Annuaire, appelées collectivement base
d'informations d'Annuaire (DIB) sont généralement utilisées pour faciliter la communication entre, avec ou à propos
d'objets tels que des entités d'application, des personnes, des terminaux et des listes de distribution.
L'Annuaire joue un rôle important dans l'interconnexion des systèmes ouverts, dont le but est de permettre, moyennant
un minimum d'accords techniques en dehors des normes d'interconnexion proprement dites, l'interconnexion des
systèmes de traitement de l'information:
– provenant de divers fabricants;
– gérés différemment;
– de niveaux de complexité différents;
– de générations différentes.
Un grand nombre d'applications comportent des prescriptions de sécurité pour assurer leur protection contre les dangers
susceptibles de porter atteinte à la communication de l'information. L'Annexe B contient une brève description des
dangers généralement connus ainsi que des services et mécanismes de sécurité qu'on peut utiliser pour la protection
contre ces dangers. Presque tous les services de sécurité reposent sur la fiabilité de la connaissance des identités des
parties en communication, c'est-à-dire sur leur authentification.
La présente Recommandation | Norme internationale définit un cadre de fourniture de services d'authentification par
l'Annuaire à ses utilisateurs. Ces derniers utilisent l'Annuaire lui-même ainsi que d'autres applications et services.
L'Annuaire peut utilement contribuer à répondre à leur besoins en services d'authentification et autres services de
sécurité car c'est un emplacement naturel à partir duquel les parties en communication peuvent obtenir les informations
d'authentification des unes et des autres - connaissance sur laquelle repose l'authentification. L'Annuaire est un empla-
cement naturel du fait qu'il contient d'autres informations nécessaires à la communication et obtenues avant que celle-ci
ait lieu. L'obtention, à partir de l'Annuaire, des informations d'authentification d'un éventuel correspondant de commu-
nication est, avec cette méthode, semblable à l'obtention d'une adresse. En raison de la vaste portée de l'Annuaire aux
fins des communications, on prévoit que le présent cadre d'authentification sera largement utilisé par toute une gamme
d'applications.
Cette troisième édition révise techniquement et améliore, mais ne remplace pas, la deuxième édition de la présente
Recommandation | Norme internationale. Les implémentations peuvent encore revendiquer la conformité à la deuxième
édition mais celle-ci finira par ne plus être prise en compte (c'est-à-dire que les erreurs signalées ne seront plus
corrigées). Il est recommandé que les implémentations se conforment, dès que possible, à la présente troisième édition.
Cette troisième édition spécifie les versions 1 et 2 des protocoles de l'Annuaire.
Les première et deuxième éditions spécifiaient également la version 1. La plupart des services et protocoles spécifiés
dans la présente édition sont conçus pour fonctionner selon la version 1. Lors de la négociation de celle-ci, on a traité les
différences entre les services et entre les protocoles, définis dans les trois éditions, en utilisant les règles d'extensibilité
définies dans l'édition actuelle de la Rec. UIT-T X.519 | ISO/CEI 9594-5. Certains services et protocoles améliorés, par
exemple les erreurs signées, ne fonctionneront cependant pas avant que toutes les entités d'annuaire mises en jeu dans
l'exploitation aient négocié la version 2.
Les réalisateurs voudront bien noter qu'un processus de résolution des erreurs existe et que des corrections pourront être
apportées à la présente Recommandation | Norme internationale sous la forme de corrigenda techniques. Les mêmes
corrections seront apportées à la présente Recommandation | Norme internationale sous la forme d'un Guide du
réalisateur. Le Secrétariat du sous-comité peut fournir une liste des corrigenda techniques approuvés pour cette
Recommandation | Norme internationale. Les corrigenda techniques publiés peuvent être obtenus auprès de votre
organisation nationale de normalisation. Le Guide du réalisateur peut être obtenu par consultation du site Internet
de l'UIT.
L'Annexe A, qui fait partie intégrante de la présente Recommandation | Norme internationale, présente le module ASN.1
qui contient toutes les définitions associées au cadre d'authentification.
L'Annexe B, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, décrit les
prescriptions de sécurité.
L'Annexe C, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, est une introduction
à la cryptographie à clé publique.
vi © ISO/CEI 1998 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO/CEI 9594-8:1998(F)
L'Annexe D, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, décrit le système
cryptographique RSA à clé publique.
L'Annexe E, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, décrit les fonctions
de hachage.
L'Annexe F, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, décrit les dangers
contre lesquels la protection est assurée par les méthodes d'authentification renforcée.
L'Annexe G, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, décrit la confiden-
tialité des données.
L'Annexe H, qui fait partie intégrante de la présente Recommandation | Norme internationale, définit des identificateurs
d'objet assignés aux algorithmes d'authentification et de chiffrement, en l'absence d'un registre formel.
L'Annexe I, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, contient une
bibliographie.
L'Annexe J, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, contient des
exemples d'emploi de contraintes sur le chemin de certification.
L'Annexe K, qui ne fait pas partie intégrante de la présente Recommandation | Norme internationale, énumère les
amendements et les relevés d'erreurs qui ont été intégrés dans la présente édition de la présente Recommandation |
Norme internationale.
© ISO/CEI 1998 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
ISO/CEI 9594-8 : 1998 (F)
NORME INTERNATIONALE
ISO/CEI 9594-8 : 1999 (F)
Rec. UIT-T X.509 (1997 F)
RECOMMANDATION UIT-T
TECHNOLOGIES DE L'INFORMATION – INTERCONNEXION DES SYSTÈMES
OUVERTS – L'ANNUAIRE: CADRE D'AUTHENTIFICATION
SECTION 1 – GÉNÉRALITÉS
1 Domaine d’application
La présente Recommandation | Norme internationale:
– spécifie la forme sous laquelle les informations d'authentification sont conservées par l'Annuaire;
– décrit la façon dont on peut obtenir de l'Annuaire ces informations d'authentification;
– énonce les hypothèses faites au sujet de la manière dont ces informations d'authentification sont
constituées et au sujet de leur emplacement dans l'Annuaire;
– définit les trois manières dont les applications peuvent employer ces informations pour effectuer des
authentifications et décrit la façon dont d'autres services de sécurité peuvent être assurés par
l'authentification.
La présente Recommandation | Norme internationale décrit deux niveaux d'authentification: l'authentification simple, qui
utilise un mot de passe pour la vérification de l'identité et l'authentification renforcée, qui fait intervenir des habilitations
établies au moyen de techniques cryptographiques. Tandis que l'authentification simple n'offre qu'une protection limitée
contre l'accès non autorisé, seule l'authentification renforcée devra servir de base à la prestation de services sûrs. Il ne
s'agit pas d'en faire un cadre général d'authentification, mais ce niveau peut se prêter à une utilisation générale pour des
applications qui considèrent que ces techniques sont appropriées.
On ne peut fournir d'authentification (et d'autres services de sécurité) que dans le contexte d'une politique de sécurité
définie pour une application. Il appartient aux utilisateurs de cette application de définir leur propre politique de sécurité,
qui peut dépendre des services fournis conformément à une norme.
Il appartient aux normes définissant des applications qui utilisent le cadre d'authentification de spécifier les échanges de
protocole qu'il convient d'effectuer afin de parvenir à une authentification fondée sur l'information d'authentification
obtenue de l'Annuaire. Le protocole utilisé par les applications pour obtenir des justificatifs de l'Annuaire est le proto-
cole d'accès à l'Annuaire (DAP, directory access protocol) spécifié dans la Rec. UIT-T X.519 | ISO/CEI 9594-5.
La méthode d'authentification renforcée qui est spécifiée dans la présente Recommandation | Norme internationale
repose sur des systèmes cryptographiques à clé (de codage) publique. C'est le principal avantage de ces systèmes que les
certificats d'utilisateur puissent être conservés dans l'Annuaire et être obtenus par les utilisateurs de l'Annuaire de la
même manière que d'autres informations de l'Annuaire. On admet que les certificats d'utilisateur sont constitués par des
moyens indépendants et qu'ils peuvent ensuite être placés dans l'Annuaire. La production de certificats d'utilisateur est
effectuée par une autorité de certification autonome qui est complètement distincte des agents DSA de l'Annuaire. En
particulier, aucune exigence spéciale n'est prescrite aux fournisseurs de l'Annuaire pour mémoriser ou communiquer les
certificats d'utilisateur de façon sûre.
Une brève introduction à la cryptographie à clé publique est donnée dans l'Annexe C.
En général, le cadre d'authentification ne dépend pas de l'utilisation d'un algorithme particulier pour autant qu'il possède
les propriétés décrites à l'article 7. Il est possible dans la pratique d'utiliser un certain nombre d'algorithmes différents.
Toutefois, deux utilisateurs qui désirent s'authentifier doivent utiliser le même algorithme cryptographique pour effectuer
correctement l'authentification. De cette façon, dans le contexte d'un ensemble d'applications voisines, le choix d'un
algorithme unique servira à élargir au maximum la communauté d'utilisateurs capables de s'authentifier et de
communiquer en sécurité. Un exemple d'algorithme cryptographique de clé publique est spécifié dans l'Annexe D.
Rec. UIT-T X.509 (1997 F
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.